Peter Kruse

Rss
Personligt feed med nye kommentarer i tråde, du overvåger:
https://www.version2.dk/mit/0/kommentarer?token=HPnHcLYhJ8jCXC_UoTnfzqY2R9xpwMBmKONAZAek0jk

Kommentarer

Kommentar til Nordea advarer danske netbankkunder om trojansk bagdør

Re: Kan ikke fjernes... Medmindre...

Den kan ikke detekte de seneste 17 varianter af Carberp og særligt de der er blevet plantet i DK kampagnen. Da maskinen er kompromitteret kan vi ikke anbefale at man forsøger at fjerne et rootkit. Der kan let ske at være anden malware på maskinen. /Peter

Re: Gætterier, spekulation og et blogindlæg

Tolk det som du vil. "Alt tyder på" - kan jeg oversætte til at sandsynligheden peger på at maskinen kan være kompromitteret. Men er det maskinen i privaten eller på Christiansborg?? Der er andre muligheder, og det udelukker jeg ikke. Igen, alt for mange ubekendte. Dit bud er sikkert...

Gætterier, spekulation og et blogindlæg

Må jeg lige understrege at det pågældende blogindlæg ikke gør andet end at belyse mulighederne for hvordan at disse data kan være tilvejebragt. Intet andet. Der er talrige andre scenarier bl.a. at de kan stamme fra en kompromitteret webmail konto (i stil med sagen om "Kyllingen" og...
Kommentar til Retro-malware: E-mail-orm skaber ravage hos Google og Nasa

Spreder sig også i DK

Visal, som ormen også kaldes, spreder sig åbenbart også i Danmark. Vores C&C monitor viser at bl.a. en leverandør til de danske kommuner er ramt hårdt. God grund til at være OBS hen over weekenden. /Peter
Kommentar til Retro-malware: E-mail-orm skaber ravage hos Google og Nasa

Re: csrss.exe

Hey, Dette er blot en lille del af den massive payload der kommer med denne orm. Den spreder sig også via interne ressourcer og downloader talrige legitime værktøjer der bruges til at udtrække brugernavne og passwords fra forskellige kilder, herunder RDS, IE, FF, Chrome osv. En central del af k...
Kommentar til DI: Udryd 100.000 danske zombier med DNS-spærring og karantæne

Re: Hvem ejer serverne?

@Stig, Tja, det afhænger af formålet! Blackhat SEO, Drive-by, spam: kompromitterede webservere, VPS, zombie maskiner C&C: Bullet Proof Hosting med fallbacks Dropsites: Bullet Proof Hosting (offshore)
Kommentar til DI: Udryd 100.000 danske zombier med DNS-spærring og karantæne

Re: Blaah.

Hej Jacob, Jeg mener ikke at vi kan diskutere hvorvidt dette vil fungere eller ej ved udelukkende at fokusere på hvordan det kan omgås. Vi kan alligevel ikke lave et indgreb der forhindrer alle tænkelige og utænkelige scenarier. Jeg vil hellere fokusere på at et indgreb som dette og med et wall...
Kommentar til Pas på: Er din virksomhed ramt af superlusket rootkit?

Re: ISP?

Om ikke andet så blokeres 22 af de 38. Det er bedre end ingenting. Venligst Peter
Kommentar til DI: Udryd 100.000 danske zombier med DNS-spærring og karantæne

Re: Blaah.

Hej Jacob, At det er ubrugeligt tager jeg gerne et væddemål på når denne løsning forhåbentlig godkendes og vedtages. Hovedparten af de komplekse BOTs anvender fast fluxing, så de kan kommunikere med flere IP adresser. På den måde undgår de null-routning. Men dermed ikke være sagt, at en null-r...
Kommentar til DI: Udryd 100.000 danske zombier med DNS-spærring og karantæne

Re: What!

Hej John, Indtil videre har vi set 3 malware familier anvende denne form for backend kommunikation illustreret med Fireshark. Det du synliggør med dette værktøj er "chain of infection" og ikke den inficerede maskines evne til at ringe hjem. At håber hen over Google, Twitter osv udgør en...
Kommentar til DI: Udryd 100.000 danske zombier med DNS-spærring og karantæne

Re: Blaah.

Det er betydeligt bedre end slet ikke at gøre noget. /Peter
Kommentar til Pas på: Er din virksomhed ramt af superlusket rootkit?

Re: Nej

Hej, Der er tale om ca. 40 forskellige domæner. De forskellige TDSS varianter benytter et sted mellem 3 og 4 domæner til connect back til C&C serveren. Se vores webside: http://www.csis.dk/dk/nyheder/nyheder.asp?tekstID=845 Her findes nogle af de domæner vi ser trafik til. /Peter
Kommentar til Techcrunch hacket: PDF-sårbarhed blottede besøgende for malware

Re: PDF eller Adobe Acrobat Reader sårbarhed?

Scriptet tvinger brugeren videre til en webside hvorfra der leveres et særligt udformet PDF dokument. Det særlige dokument udnytter flere sårbarheder rettet mod Adobe Reader/Acrobat. Hvis maskinen ikke er forsvarligt opdateret og browseren accepterer javascript, så køres shellkode i hukommelsen...

Re: Hmm

husk at .lnk kan pege på UNC stier. Det åbner for andre spredningsmåder end blot USB og flytbare medier. Et eksempel kunne være en ekstern fil server. Venligst Peter

Sophos værktøj - mere smidigt

Sophos har lavet et værktøj som (sagt pænt) er en del smartere end MS fix-it. Det kan hentes her og det ødelægger ikke ikoner m.v. men tvinger Windows til at behandle .lnk filer på en anden og mere sikker måde: http://www.sophos.com/products/free-tools/sophos-windows-shortcut-exploi... Venligst...
Kommentar til Mærsk ramt af zero-day USB-genvejsorm

0-day?

Det er næppe 0-day der anvendes af Sality. Sality er en kendt netværksorm og informationstyv. Den findes i flere end 200 varianter. Den spreder sig via "autorun", shares og kendte windows sårbarheder og indeholder ikke nogen 0-day payload eller egenskaber. Koden er polymorphisk, men...
Kommentar til Genvejsikoner udnyttes til at sprede ny Windows-orm via USB-drev

Det er en feature ...

altså, Microsoft. Det forekommer mig uheldigt at man opretter to usikre COM objekter, der kan læse filer ud af systemet og fra shares på den måde. Men faktum er, at denne sårbarhed, som Microsoft selv kalder den, faktisk mere er en feature, da den med fuldt overlæg er introduceret, og altså ikke...
Kommentar til Ugens job: Bliv ansvarlig for statens topsikrede netværk

Guf ...

for dem der gider at oversætte stillingsopslaget og de mange detaljer fra dansk til Arabisk eller Kinesisk ... Venligst Peter
Kommentar til Her ser piraterne landskampen på nettet

Faktum er ...

der er masser af steder på nettet hvor kampene kan ses gratis, ligesom der er fupsider der lukrerer på at folk betaler penge for noget der leveres igennem en gratis udbyder. Har dog svært ved at forstå hvad det har med pirateri at gøre? Venligst Peter
Kommentar til Pinligt: Topdanmarks regnskab blev URL-hacket af Reuters

Re: Simpelt

En anden mulighed er selvfølgelig at de bare har gættet sig til hvor Excel arket blevet publiceret: http://www.topdanmark.dk/download?file=regnskab/2010/1kvt_int_regnskab_d... Giv et vild gæt på URL til næste regnskab? :-) /Peter